Ho già trascorso diversi giorni a cercare di capire come decrittografare un disco rigido in remoto con TPM2.0 in Linux. Non sono un esperto di sicurezza e questa è la mia prima battaglia con TPM2.0. Ho imparato molto, ma ho ancora domande. Qualcuno potrebbe aiutarmi con quelli:
- Al momento attuale TrustedGRUB2 non supporta TPM2.0, solo TPM1.2. Non ho potuto trovare altri progetti con supporto per TPM2.0. Ce ne sono?
- TPM2.0 può interrompere il processo di avvio?
Il problema che sto cercando di risolvere è tale:
- Ho una partizione
/
crittografata con/boot
non criptata - Il computer si troverà in locali di qualcun altro, quindi non dovrebbe essere possibile rubare un disco rigido e leggere i dati
- Il processo di avvio dovrebbe essere non presidiato - la macchina non dovrebbe decodificare l'unità e avviare se stessa se qualcosa è cambiato - BIOS configuration,
initram
file (/boot
non criptato, quindi giocherellare coninitram
è possibile)
Ho pensato a questa soluzione:
- La chiave LUKS sarà il valore di PCR0
- Il valore di PCR0 dovrebbe cambiare, se qualcuno cambierà qualcosa nel BIOS, come resettarlo (se qualcuno ruberà l'intero PC, non solo il disco), abilita l'avvio USB.
- Il valore PCR0 utilizzato per decrittografare il disco dovrebbe essere sicuro tanto quanto sicuro è il sistema operativo in esecuzione su di esso - l'unico modo per leggere questo PCR0 invariato senza modificare il BIOS è quello di ottenere l'accesso al sistema operativo, giusto?
Penso di aver raggiunto un livello in cui posso porre una domanda legittima su questo problema, ma non riesco a valutare ulteriormente le implicazioni o le lacune in questo. Aiuto, per favore:)
I migliori saluti
Kamil